Cenni sulla sicurezza delle Reti Autore :Demarchi Roberto Docente :P. M. Fermeglia Tutore :Ing. M.Viola Sistemi Informativi Ing.informatica - teledidattico sicurezza delle reti 1 Attacchi –tipologie 1/2 Interruzione Intercettazione sicurezza delle reti 2 Attacchi – tipologie 2/2 Modificazione Generazione sicurezza delle reti 3 Aspetti importanti nella sicurezza delle reti Autenticazione controllo di chi accede a determinate risorse Controllo dell’accesso Verifica privilegi Confidenzialità messaggi e dati Quali dati rendere visibili Integrità dei messaggi Evitare contraffazioni Non ripudio dei messaggi Certezza mittente – es:firma elettronica Disponibilita’ sicurezza delle reti 4 Attacchi passivi monitoraggio e ascolto trasmissioni, non comportano alterazioni dell’informazione A riguardo si identificano Rilasci del contenuto di un messaggio Si vuole impedire al destinatario diapprendere l’informazione riservata. Analisi del traffico Analisi tipologie messaggi e altre informazioni per determinarel’identità degli host, frequenza e lunghezza messaggi ect. sicurezza delle reti 5 Attacchi attivi possibili alterazioni dati, fino alla falsificazione del flusso A riguardo si identificano : Masquerade Entità che finge di essere un’entità diversa Replay intercettazione passiva dati e successiva ritrasmssione per generazione effetto non autorizzato Modifica di messaggi Modifica parziali messagi o ritardati Negazione del servizio Impedimento normale servizio delle comunicazioni.Peggio : interruzione intera rete sicurezza delle reti 6 Attacchi di rete – Terminologia • Spoofing • Sniffing • Shadow server • Dos (Denial of Service) sicurezza delle reti 7 Spoofing • Consiste nella falsificazione degli indirizzi di rete del mittente; ( Spoofing IP ) • Tentativo di alterare dati e accedere a programmi ; (Spoofing dati) Spoofing cieco : • Invio pacchetti TCP con indirizzi partenza falsificati:cieco perchè non si ha sempre speranza di vederli tornare • Rimedi : Crittografia / Autenticazione sicurezza delle reti 8 Sniffing Rappresenta una lettura non autorizzata di pacchetti. Normalmente avviene in reti di tipo broadcast e nei nodi di smistamento dei pacchetti ( es. gateway) Possibile rimedio : crittografia sicurezza delle reti 9 Shadow Server Server ombra, macchina che si spaccia per altre e che appare essa fornitrice di un servizio. Il shadow server deve risultare più veloce del server del quale deve escluderne il servizio, per esempio con un attacco come la negazione del servizio. Rimedio : tecniche autenticazione server sicurezza delle reti 10 Dos (Denial of Service) Per impedire il normale funzionamento di un server, la cosa “ migliore “ è quella di tenerlo impegnato in maniera tale da comprometterne il servizio. Rimedi : monitoraggio rete. sicurezza delle reti 11 Rete Router Rete Privata Internet sicurezza delle reti 12 Router [1/2] dispositivi indispensabili per connettere la rete locale di una azienda a Internet ; smistano il traffico di rete, basandosi su una mappa di rete denominata “tabella di rou-ting” ; fanno in modo che i pacchetti raggiungano le loro destinazioni attraverso i percorsi più efficaci secondo diversi algoritimi di instradamento; sicurezza delle reti 13 Router [2/2] dispongono di funzioni di packet filtering effettuare un primo filtraggio del traffico di rete ; per offrono generalmente la funzionalità NAT (Network Address Translation) per permettere di connettere alla rete pubblica [ una linea di connessione a Internet ] una alla rete privata alla quale vengono assegnati un’insieme di indirizzi privati ; sicurezza delle reti 14 Filtraggio della rete Indirizzo IP da cui provengono i dati; Indirizzo IP di destinazione ; Porte sorgente e destinazione TCP/UDP; Datagram di inizilizzazione della connessione che usa bit TCP SYN o ACK sicurezza delle reti 15 Esempio filtraggio Internet Router Rete locale Tabella filtraggio sicurezza delle reti 16 Tabella filtraggio Azione/Regole IP Sorgente Porta Sorgente Porta Destinazione Protocollo Direzione TRAFFICO Permesso 198.21.120.2 >1024 21 TCP esterno Permesso 198.21.120.2 20 Negato qualsiasi qualsiasi interno >1024 qualsiasi sicurezza delle reti qualsiasi qualsiasi entrambe 17 Firewall Il router viene spesso sostituito da uno strumento , o meglio da un insieme di componenti hardware/software dedicato per assicurare la massima sicurezza che va sotto il nome di firewall; Firewall = “muro tagliafuoco” sicurezza delle reti 18 Firewall e TCP/IP TCP/IP Firewall Analisi Application Application Gateway Data Payload Transport TCP Circuit Gateway TCP/UDP Header Network- IP Packet Filtering IP Header Presentation Session Data link Generalmente pysical Non controllati sicurezza delle reti 19 Ancora Firewall 1/2 Distinguiamo con grande generalità due tipi di firewall : • Packet filter ( screen ) : regole su pacchetti IP (visto in precedenza ) • Proxy application gateway o application firewall (lievello più alto packet filter ) : separano o Internet/Intranet sicurezza delle reti 20 Ancora Firewall 2/2 Packet filter Pregi :Veloci , flessibili, versatili Difetti : Non offrono molta sicurezza, agiscono a livello di rete e non di applicazione Stateful inspection Pregi: maggiore sicurezza (verifica rete/applicazione) Difetti : Non molto veloce; file di log migliorabili Proxy Pregi : Sicuri Difetti : Deve supportare direttamente ogni applicazione Proxy + dynamic filetring sicurezza delle reti 21 Impiego Firewall Internet Rete esterna Barriera offerta dal Firewall Firewall Rete interna sicurezza delle reti 22 Application gateway L’ Application gateway o semplicemente proxy , è in grado, a differenza del firewall basato solo su packet filtering, di autenticare gli utenti connessi; Generano dei report sul traffico di rete,file log; Mascherano l’indirizzo del richiedente della rete interna sicurezza delle reti 23 NAT(Network Address Translation ) Il mascheramento dell’origine del collegamento è importante in quanto evita di trasmettere informazioni relative alla rete protetta dal firewall ; Quando una macchina della rete interna apre una connessione verso un server esterno il firewall sostituisce ad essa il suo indirizzo ; Inoltre l’indirizzo privato della rete interna è non- routable (non instradrabile dai router) sicurezza delle reti 24 Mascheramento IP L’operazione di mascheramento è molto importante perchè permette di non trasmettere all’esterno alcun tipo di informazione relativamente alla tipologia della rete protetta dal firewall. Nel momento in cui una macchina della rete interna richiede una connessione verso l’esterno, essa viene intercettata dal firewall che inserisce il proprio indirizzo IP, a sostituzione di questa, facendo credere all’esterno che esso sia il solo punto di cominicazione con l’esterno. Inoltre il firewall intercetterà e sarà in grado di riconoscere il traffico di ritorno destinatario dei nodi “ mascherati “ e di inoltarlo, nella maniera più corretta, ai richiedenti. sicurezza delle reti 25 Schema con Application Gateway Regole autenticazione Internet Utilizzabili per la ricerca di eventuali attacchi in corso Application Gateway (PROXY)* Rete interna File.log * Possono risiedere più server proxy i quali si occuperanno dell’effettivo trasferimento dei pacchetti dalla due reti, e per i vari servizi per gli utenti interni delle reti sicurezza 26 Proxy Cache proxy : offre un servizio che ha la capacità di memorizzare in locale i file richiesti più frequentemente ( protocolli : Http / Ftp ) sicurezza delle reti 27 Configurazioni firewall Dual-homed host Una macchina multi-homed è un macchina dotata di più schede di rete e ognuna di esse è rivolta a un segmento distinto della rete. Se le schede di rete sono due si ha la configurazione Dual – Homed Host Bastion host Macchina con grado di criticità altissimo perchè solitamente collocata in posizione ( anche al di fuori della rete aziendale pur appartenendovi ) critica. sicurezza delle reti 28 Zona DMZ Zona che separa una rete non sicura da una rete sicura DMZ Internet Screening router Bastion Host sicurezza delle reti Rete privata 29 Esempio DMZ Dominio Sicurezza Zona demilitarizzata, ovvero zona più sicura di Internet ma meno meno del dominio di sicurezza Firewall Interno Firewall Uscita Bastion host Host interno Server che fornisce Informazioni Pubblicità Internet Server interno Server E-Commerce Bastion host Perimetro sicurezza sicurezza delle reti 30 VPN [ 1/2 ] VPN ( Virtual Private Network ) è un meccanismo per fornire comunicazioni (crittografiche) sicure, in due configurazioni fondamentali : Utente-rete Rete-Rete Rete protetta Utente remoto Rete protetta Internet Firewall Firewall sicurezza delle reti 31 VPN [ 2/2 ] Una VPN dunque permette a due reti private di essere connesse in maniera sicura attraverso reti pubbliche quale Internet. Le aziende hanno la necessità, per il fatto di avere più sedi settorialmente diverse, di connettere tra loro più reti private attarverso la rete pubblica. Internet con i suoi protocolli standard non è in grado di fornire sicurezza. VPN fornisce Privatezza Autenticazione Integrità ( Tunneling ) Protocolli usati da VPN IPSec SSL .... sicurezza delle reti 32 KERBEROS Kerberos è un protocollo di autenticazione di rete, sviluppato negli anni 1980 , con le seguenti principali caratteristiche : Segreti condivisi Se A confida un segreto a B il segreto è conoscituo solo da loro due. Qualora B rivceva cominicazioni riguardo a quel segreto deve essere sucuro che si tartti di A, perciò deve essere protetta da una password. Se però per qualche motivo qualcheduno ne viene a conoscenza ( p.es. attraverso uno sniffer ) cade la segretezza. Kerberos rIoslve questo problema grazie alla crittografia. Autenticazione multipla Sono previste tre componenti: Applicazine/Client Risorse di rete KDC : controller di dominio ( DC Domain Controller ) sicurezza delle reti 33 KERBEROS 1/3 AS =Authentication Server TGS = Ticket Granting Servers KDC Una volta per sessione di connessione KDC=Key Distribution Center Server=Server a cui viene richiesto un servizio AS 1 2 TGS 3 4 Client 5 Una volta per tipologia di servizio 6 Server Una volta per tipologia di servizio sicurezza delle reti 34 KERBEROS 2/3 Kerberos prevede che a ogni accesso a un server da parte di un utente/client sia effettuata un’autenticazione per mezzo di una terza parte , ovvero da un server ritenuto sicuro [ KDC il distributore delle chiavi ]. KDC è formato da un server di autenticazione AS e da un validatore di Ticket (TGS). KDC contiene l’archivio degli identificativi delle entità presenti nel dominio. Fasi : 1. richiesta ticket -granting 2. Il server AS invia un ticket granting TGT ( certificato crittografato )+ chiave sessione 3. Richiesta di servizio 4. Invio ticket + chiave sessione 5. Richiesta ticket di tipo service-granting 6. Il server può fornire nuovo autenticatore sicurezza delle reti 35 KERBEROS 3/3 In sintesi l’utente si connette ad una postazione e richiede un servizio ad un host As verifica diritti di accesso secondo un asua base dati, emmette un ticket e una chiave di sessione (cifrati ) La workstation richiede all’utente – password e così decifra il messaggio in arrivo. Lo invia poi al TGS + autenticatore (username / indirizzo di rete client / ora sistema ) TGS decifra il ticket e l’autenticatore. Emette un ticket per il server richiesto Il server verifica ticket e autenticatore. sicurezza delle reti 36 KERBEROS E WINOWS 2000 Kerberos di windows 2000 supporta il meccanismo della delega della’autenticazione FIDUCIA TRANSITIVA – utlizzazione risorse altri domini Dominio A Fiducia Dominio B Fiducia Dominio C Fiducia non transitiva sicurezza delle reti 37 Kerberos e Windows 2000 Kerberos supporta le realzioni di fiducia transitiva I ticket dell’utente possono essere inoltrati da una macchina all’altra Supporta il logon con le smart card Windows XP riusa se pur con modifiche Kerberos sicurezza delle reti 38 Conclusioni Le aziende hanno più che mai la necessità di connettersi a Internet pena, la loro stassa soppravivenza. Se da un lato si aprono ad esse grandi prospettive e opportunità, dall’altro si espongono a notevoli tentativi di intrusione. I firewall, nelle loro molteplicità d’uso, offrono un valido supporto alla sicurezza ma non rapparesentano la soluzione ad ogni problema. L’ammnistratore di rete dovrà essere attento e sensibile a monitorare continuamante la rete e aggiornare continuamente il software in uso. Non per ultimo dovrà considerare le minacce più “ temibili “ ovvero quelle interne. sicurezza delle reti 39